Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.11.2006, 15:41   #1
BrenderMacht
 
Trojaner? - Icon21

Trojaner?



Hallo,
ich habe den Verdacht einen Trojaner oder Keylogger auf meinem System zu haben.


Logfile of HijackThis v1.99.1
Scan saved at 16:25:47, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=reg_success&lang=7&version=5002253&setup_id=7000007&aff_id=1&addon=IncrediMail
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {9110FA82-CD5C-1E70-20BB-9B8D16FC8990} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FourShimPlanFirst] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Peak Love Four Shim\ownsbore.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Bait ping] C:\DOKUME~1\****\ANWEND~1\ONLINE~1\StartProxy.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 14.11.2006, 16:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner? - Standard

Trojaner?



C:\DOKUME~1\****\ANWEND~1\ONLINE~1\StartProxy.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Peak Love Four Shim\ownsbore.exe


Werte diese Dateien mal bei Jotti aus und poste die Ergebnisse, inkl. Dateigrößen.
__________________

__________________

Alt 14.11.2006, 18:53   #3
BrenderMacht
 
Trojaner? - Standard

Trojaner?



Also die Ergebnisse.
Hoffe ich habe es nicht falsch gemacht.

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
__________________

Alt 14.11.2006, 21:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner? - Standard

Trojaner?



Das Ergebnis ist leider nicht vollständig gepostet. Weiter unten stehen bei der Auswertung noch weitere Infos: Dateigröße, md5- und sha1-Wert. Bitte alles posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.11.2006, 12:56   #5
BrenderMacht
 
Trojaner? - Standard

Trojaner?



Hallo
Ich find da irgendwie keine weiteren Info's.
Ich bin auf http://virusscan.jotti.org/de/ gegangen und hab dann ''Durchsuchen'' gemacht, dann die datei gewählt und auf ''Abschicken''.
Könntest du mir mal bitte sagen wo die anderen Info's stehen?

Schonmal Danke im Vorraus.


Alt 15.11.2006, 13:01   #6
BrenderMacht
 
Trojaner? - Standard

Trojaner?



Ich habe die Datei nochmal bei virustotal ausgewertet.
Hier ist die Log:

Complete scanning result of "hijackthis1.log", received in VirusTotal at 11.15.2006, 13:57:19 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.15.2006 no virus found
Authentium 4.93.8 11.14.2006 no virus found
Avast 4.7.892.0 11.14.2006 no virus found
AVG 386 11.14.2006 no virus found
BitDefender 7.2 11.15.2006 no virus found
CAT-QuickHeal 8.00 11.14.2006 no virus found
ClamAV devel-20060426 11.14.2006 no virus found
DrWeb 4.33 11.15.2006 no virus found
eTrust-InoculateIT 23.73.56 11.15.2006 no virus found
eTrust-Vet 30.3.3194 11.15.2006 no virus found
Ewido 4.0 11.15.2006 no virus found
Fortinet 2.82.0.0 11.15.2006 no virus found
F-Prot 3.16f 11.14.2006 no virus found
F-Prot4 4.2.1.29 11.14.2006 no virus found
Ikarus 0.2.65.0 11.14.2006 no virus found
Kaspersky 4.0.2.24 11.15.2006 no virus found
McAfee 4895 11.14.2006 no virus found
Microsoft 1.1609 11.15.2006 no virus found
NOD32v2 1866 11.14.2006 no virus found
Norman 5.80.02 11.15.2006 no virus found
Panda 9.0.0.4 11.14.2006 no virus found
Prevx1 V2 11.15.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.119 11.15.2006 no virus found
UNA 1.83 11.14.2006 no virus found
VBA32 3.11.1 11.14.2006 no virus found
VirusBuster 4.3.15:9 11.14.2006 no virus found

Aditional Information
File size: 4761 bytes
MD5: eae699c4c809a6da578779a7e1d23a9c
SHA1: 805a7b4d93d472795759369ef1f318095636bc67

Alt 15.11.2006, 13:06   #7
Sunny
Administrator
> Competence Manager
 

Trojaner? - Standard

Trojaner?



@BrenderMacht,

bitte arbeite diese Anleitung ab:

Lies dir folgenden Link genau durch -> Entfernung Swizzor.A

Die für dich relevanten Einträge sind folgende:

Zitat:
O4 - HKLM\..\Run: [FourShimPlanFirst] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Peak Love Four Shim\ownsbore.exe
O4 - HKCU\..\Run: [Bait ping] C:\DOKUME~1\****\ANWEND~1\ONLINE~1\StartProxy.exe
Lade dir anschliessend folgendes Tool -> SmitfraudFix

Starte das Programm mit der Option "2", und poste im Anschluss an den Scan den Inhalt der Report.txt.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 15.11.2006, 16:23   #8
BrenderMacht
 
Trojaner? - Standard

Trojaner?



Ich hab keine ahnung ob ich des richtig gemacht hab.
Hab keine erfahrungen mit solchen Sachen.

SmitFraudFix v2.121

Scan done at 17:18:39,09, 15.11.2006
Run from C:\Dokumente und Einstellungen\Maxi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 15.11.2006, 17:06   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner? - Standard

Trojaner?



Zitat:
Complete scanning result of "hijackthis1.log", received in VirusTotal at 11.15.2006, 13:57:19 (CET).

Wieso wertest Du bei Jotti eine Hijackthis-Logdatei aus? Das ist doch bloß eine Textdatei! Das sind nat. keine Schädlinge!
Auswerten solltest Du (nacheinander) diese Dateien:

C:\DOKUME~1\****\ANWEND~1\ONLINE~1\StartProxy.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Peak Love Four Shim\ownsbore.exe


Poste für jede Datei das komplette Ergebnis!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.11.2006, 20:21   #10
BrenderMacht
 
Trojaner? - Standard

Trojaner?



ÄÄhm irgendwie hab ich die dateien schon gelöscht.
Ka wann und warum.
Und wenn ich Systemwiederherstellung mache kommt, dass keine Änderung vorgenommen worden sind.
Was kann ich nun tun?

Alt 15.11.2006, 21:43   #11
Sunny
Administrator
> Competence Manager
 

Trojaner? - Standard

Trojaner?



Zitat:
Zitat von BrenderMacht Beitrag anzeigen
Und wenn ich Systemwiederherstellung mache kommt, dass keine Änderung vorgenommen worden sind.
Was kann ich nun tun?
Was du nun tun kannst? Endlich aufmekrsam den Beitrag von mir lesen!!!

Die Einträge welche ich dir, sowie auch "cosinus" genannt hat, gehören 100%ig zum Swizzor.A!!!
Lies dir den Link zur Entfernung diesem durch, und arbeite ihn ab!

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Trojaner?
antivir, appinit_dlls, avira, bho, computer, desktop, dll, einstellungen, excel, explorer, firefox, hijack, hijackthis, icqtoolbar, internet, internet explorer, monitor, mozilla, mozilla firefox, nvidia, object, rundll, shockwave, software, system, trojaner, trojaner?, tuneup utilities, urlsearchhook, windows, windows xp



Zum Thema Trojaner? - Hallo, ich habe den Verdacht einen Trojaner oder Keylogger auf meinem System zu haben. Logfile of HijackThis v1.99.1 Scan saved at 16:25:47, on 14.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) - Trojaner?...
Archiv
Du betrachtest: Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.